Apache ERP জিরো-ডে অসম্পূর্ণ প্যাচের বিপদ আন্ডারস্কোর করে

Apache ERP জিরো-ডে অসম্পূর্ণ প্যাচের বিপদ আন্ডারস্কোর করে

সময় স্ট্যাম্প: 4 জানুয়ারী, 2024 4:00 অপরাহ্ন

অজানা গোষ্ঠীগুলি Apache-এর অফবিজ এন্টারপ্রাইজ রিসোর্স প্ল্যানিং (ERP) কাঠামোতে চিহ্নিত একটি শূন্য-দিনের দুর্বলতার বিরুদ্ধে অনুসন্ধান শুরু করেছে - সফ্টওয়্যার সংশোধনগুলিকে বাইপাস করার উপায়গুলির জন্য প্যাচগুলি বিশ্লেষণ করার একটি ক্রমবর্ধমান জনপ্রিয় কৌশল৷

0-দিনের দুর্বলতা (জন্য CVE-2023-51467) Apache OFBiz-এ, 26 ডিসেম্বর প্রকাশ করা হয়েছে, একজন আক্রমণকারীকে সংবেদনশীল তথ্য অ্যাক্সেস করতে এবং ERP ফ্রেমওয়ার্ক ব্যবহার করে অ্যাপ্লিকেশনগুলির বিরুদ্ধে দূরবর্তীভাবে কোড চালানোর অনুমতি দেয়, সাইবারসিকিউরিটি ফার্ম SonicWall এর একটি বিশ্লেষণ অনুসারে। অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশন মূলত একটি সম্পর্কিত সমস্যার জন্য একটি প্যাচ প্রকাশ করেছিল, CVE-2023-49070, কিন্তু ফিক্সটি আক্রমণের অন্যান্য বৈচিত্র থেকে রক্ষা করতে ব্যর্থ হয়েছে।

সোনিকওয়ালের হুমকি গবেষণার নির্বাহী পরিচালক ডগলাস ম্যাককি বলেছেন, ঘটনাটি উচ্চ-মূল্যের দুর্বলতার জন্য প্রকাশিত যেকোন প্যাচগুলি যাচাই করার আক্রমণকারীদের কৌশলকে হাইলাইট করে - প্রচেষ্টা যা প্রায়শই সফ্টওয়্যার সংশোধনের উপায় খুঁজে বের করে।

“একবার কেউ এই বলে কঠোর পরিশ্রম করে যে, 'ওহ, এখানে একটি দুর্বলতা বিদ্যমান', এখন গবেষক বা হুমকি অভিনেতাদের একটি পুরো দল সেই একটি সংকীর্ণ জায়গাটি দেখতে পারে এবং আপনি নিজেকে অনেক বেশি যাচাইয়ের জন্য উন্মুক্ত করেছেন। ," তিনি বলেন. "আপনি কোডের সেই ক্ষেত্রটির দিকে দৃষ্টি আকর্ষণ করেছেন, এবং যদি আপনার প্যাচটি শক্ত না হয় বা কিছু মিস হয়ে যায়, তবে এটি খুঁজে পাওয়ার সম্ভাবনা বেশি কারণ আপনার এটির উপর অতিরিক্ত নজর রয়েছে।"

SonicWall গবেষক হাসিব ভোরা 5 ডিসেম্বর প্যাচ বিশ্লেষণ করেছেন এবং সমস্যাটি কাজে লাগানোর অতিরিক্ত উপায় আবিষ্কার করেছেন, যা কোম্পানিটি 14 ডিসেম্বর অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশনকে রিপোর্ট করেছে। 

"CVE-2023-49070-এর প্যাচ বিশ্লেষণ করার সময় আমরা নির্বাচিত প্রশমন দ্বারা আগ্রহী হয়েছিলাম এবং সন্দেহ করেছিলাম যে প্রকৃত প্রমাণীকরণ বাইপাসটি এখনও উপস্থিত থাকবে কারণ প্যাচটি কেবলমাত্র অ্যাপ্লিকেশন থেকে XML RPC কোডটি সরিয়ে দিয়েছে," ভোরা সমস্যাটির বিশ্লেষণে বলা হয়েছে. "ফলস্বরূপ, আমরা অনুমোদন-বাইপাস সমস্যার মূল কারণ খুঁজে বের করার জন্য কোডটি খনন করার সিদ্ধান্ত নিয়েছি।"

CVE-2023-51467-এর জন্য শোষণ প্রচেষ্টার চার্ট

26 ডিসেম্বর প্রকাশের আগে আক্রমণগুলি Apache OfBiz দুর্বলতাকে লক্ষ্য করে। সূত্র: সনিকওয়াল

21 ডিসেম্বরের মধ্যে, ইস্যুটি প্রকাশের পাঁচ দিন আগে, SonicWall ইতিমধ্যেই ইস্যুটির জন্য শোষণের প্রচেষ্টা চিহ্নিত করেছে৷ 

প্যাচ অসম্পূর্ণ

আক্রমণকারীরা বাইপাস করতে পেরেছে এমন একটি প্যাচ প্রকাশে অ্যাপাচি একা নয়। 2020 সালে, 24টি দুর্বলতার মধ্যে 25টি (XNUMX%) শূন্য-দিনের শোষণ ব্যবহার করে আক্রমণ করা হয়েছিল পূর্বে প্যাচ করা নিরাপত্তা সংক্রান্ত সমস্যাগুলির ভিন্নতা, অনুযায়ী Google-এর থ্রেট অ্যানালাইসিস গ্রুপ (TAG) দ্বারা প্রকাশিত ডেটা. Google একটি আপডেট বিশ্লেষণে বলা হয়েছে.

গুগল ম্যান্ডিয়েন্টের একজন সিনিয়র ম্যানেজার জ্যারেড সেমরাউ বলেছেন যে কোম্পানিগুলি কোনও সমস্যাকে সম্পূর্ণরূপে প্যাচ করতে ব্যর্থ হওয়ার কারণগুলি অসংখ্য, সমস্যার মূল কারণটি না বোঝা থেকে শুরু করে সফ্টওয়্যার দুর্বলতার বিশাল ব্যাকলগগুলি মোকাবেলা করা থেকে একটি ব্যাপক সমাধানের জন্য একটি তাত্ক্ষণিক প্যাচকে অগ্রাধিকার দেওয়া। দুর্বলতা এবং শোষণ গোষ্ঠী। 

"কেন এটি ঘটে তার কোন সহজ, একক উত্তর নেই," তিনি বলেছেন। "এমন বেশ কয়েকটি কারণ রয়েছে যা [একটি অসম্পূর্ণ প্যাচ] এ অবদান রাখতে পারে, তবে [সোনিকওয়াল গবেষকরা] একেবারে সঠিক - অনেক সময় কোম্পানিগুলি কেবল পরিচিত আক্রমণ ভেক্টরকে প্যাচ করছে।"

Google আশা করে যে শূন্য-দিনের শোষণের অংশ যা অসম্পূর্ণভাবে প্যাচ করা দুর্বলতাগুলিকে লক্ষ্য করে তা একটি উল্লেখযোগ্য ফ্যাক্টর থাকবে। আক্রমণকারীর দৃষ্টিকোণ থেকে, একটি অ্যাপ্লিকেশনে দুর্বলতা খুঁজে পাওয়া কঠিন কারণ গবেষক এবং হুমকি অভিনেতাদের 100,000 বা লক্ষ লক্ষ লাইন কোড দেখতে হয়। প্রতিশ্রুতিবদ্ধ দুর্বলতাগুলির উপর ফোকাস করে যা সঠিকভাবে প্যাচ করা হয়নি, আক্রমণকারীরা স্ক্র্যাচ থেকে শুরু করার পরিবর্তে একটি পরিচিত দুর্বল পয়েন্ট আক্রমণ চালিয়ে যেতে পারে।

বিজ ফিক্সের চারপাশে একটি উপায়

অনেক উপায়ে, এটি Apache OfBiz দুর্বলতার সাথে ঘটেছে। মূল প্রতিবেদনে দুটি সমস্যা বর্ণনা করা হয়েছে: একটি RCE ত্রুটি যার জন্য XML-RPC ইন্টারফেস (CVE-2023-49070) অ্যাক্সেসের প্রয়োজন এবং একটি প্রমাণীকরণ বাইপাস সমস্যা যা অবিশ্বস্ত আক্রমণকারীদের এই অ্যাক্সেস প্রদান করে। অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশন বিশ্বাস করে যে XML-RPC এন্ডপয়েন্ট অপসারণ করা উভয় সমস্যাকে কাজে লাগাতে বাধা দেবে, ASF নিরাপত্তা প্রতিক্রিয়া দল ডার্ক রিডিংয়ের প্রশ্নের জবাবে বলেছে।

"দুর্ভাগ্যবশত আমরা মিস করেছি যে একই প্রমাণীকরণ বাইপাস অন্যান্য প্রান্তকেও প্রভাবিত করেছে, শুধু XML-RPC নয়," দলটি বলেছে। "একবার আমরা সচেতন হয়ে গেলে, কয়েক ঘন্টার মধ্যে দ্বিতীয় প্যাচ জারি করা হয়েছিল।"

Apache দ্বারা OFBIZ-12873 হিসাবে ট্র্যাক করা দুর্বলতা, "আক্রমণকারীদের একটি সাধারণ সার্ভার-সাইড অনুরোধ জালিয়াতি (SSRF) অর্জনের জন্য প্রমাণীকরণ বাইপাস করার অনুমতি দেয়," Apache সফটওয়্যার ফাউন্ডেশনের সদস্য দীপক দীক্ষিত, Openwall মেইলিং তালিকায় বলা হয়েছে. তিনি SonicWall হুমকি গবেষক হাসিব ভোরা এবং অন্য দুই গবেষক - গাও তিয়ান এবং L0ne1y - সমস্যাটি খুঁজে পাওয়ার কৃতিত্ব দিয়েছেন।

যেহেতু OfBiz একটি কাঠামো, এবং এইভাবে সফ্টওয়্যার সরবরাহ চেইনের অংশ, দুর্বলতার প্রভাব ব্যাপক হতে পারে। জনপ্রিয় অ্যাটলাসিয়ান জিরা প্রকল্প এবং ইস্যু-ট্র্যাকিং সফ্টওয়্যার, উদাহরণস্বরূপ, অফবিজ লাইব্রেরি ব্যবহার করে, তবে শোষণটি প্ল্যাটফর্মে সফলভাবে সম্পাদন করতে পারে কিনা তা এখনও অজানা, সনিকওয়ালের ম্যাকি বলেছেন।

"এটা নির্ভর করবে যেভাবে প্রতিটি কোম্পানি তাদের নেটওয়ার্ক স্থপতি করে, তারা যেভাবে সফ্টওয়্যারটি কনফিগার করে তার উপর," তিনি বলেছেন। "আমি বলব যে একটি সাধারণ অবকাঠামোতে এই ইন্টারনেট-মুখী থাকবে না, এটির জন্য কিছু ধরণের ভিপিএন বা অভ্যন্তরীণ অ্যাক্সেসের প্রয়োজন হবে।"

যে কোনও ক্ষেত্রে, কোম্পানিগুলির পদক্ষেপ নেওয়া উচিত এবং সর্বশেষ সংস্করণে OfBiz ব্যবহার করার জন্য পরিচিত যে কোনও অ্যাপ্লিকেশন প্যাচ করা উচিত, ASF নিরাপত্তা প্রতিক্রিয়া দল বলেছে। 

“Apache OFBiz ব্যবহার করে এমন কোম্পানিগুলির জন্য আমাদের সুপারিশ হল নিরাপত্তার সর্বোত্তম অনুশীলনগুলি অনুসরণ করা, যার মধ্যে কেবলমাত্র সেই ব্যবহারকারীদের সিস্টেমে অ্যাক্সেস দেওয়া, যাদের এটির প্রয়োজন রয়েছে, নিয়মিত আপনার সফ্টওয়্যার আপডেট করা নিশ্চিত করা এবং নিরাপত্তার সময় আপনি প্রতিক্রিয়া জানাতে সুসজ্জিত কিনা তা নিশ্চিত করা। উপদেষ্টা প্রকাশিত হয়,” তারা বলেন.

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া